La recente operazione di contrasto contro GlassWorm ha interrotto in modo coordinato i canali di comando e controllo utilizzati da questo malware, noto per alimentare attacchi alla supply chain software rivolti in modo specifico agli sviluppatori. Il punto critico è che gli ambienti di sviluppo rappresentano un moltiplicatore di impatto: basta compromettere una singola workstation con accesso a repository, pipeline CI/CD, piattaforme cloud e registri di pacchetti per propagare codice malevolo verso migliaia di utenti e organizzazioni a valle.
GlassWorm è stato osservato in una campagna persistente che combina più vettori. Un elemento centrale è l’uso di estensioni trojanizzate per VS Code distribuite attraverso marketplace popolari, con la capacità di colpire anche fork e varianti dell’editor. In parallelo, la campagna ha introdotto codice dannoso tramite pacchetti compromessi in ecosistemi molto diffusi come npm e Python, sfruttando la fiducia nelle dipendenze e nelle librerie open source.
Dal punto di vista funzionale, l’obiettivo è l’installazione di un framework di furto dati. Le capacità includono raccolta di credenziali e token di sviluppo, esfiltrazione di wallet di criptovalute e profiling del sistema. Nelle evoluzioni più recenti, il malware ha distribuito anche un RAT in JavaScript basato su WebSocket, in grado di sottrarre dati dai browser ed eseguire codice arbitrario. Tra le azioni più invasive rientra l’installazione di un’estensione per browser che può raccogliere screenshot, battiture e contenuti della clipboard, aumentando il rischio di compromissione di account e segreti aziendali.
Un aspetto distintivo di GlassWorm è la resilienza dell’infrastruttura. L’operazione ha utilizzato più canali C2 in parallelo, includendo tecniche di dead drop tramite servizi legittimi e meccanismi decentralizzati. Sono stati osservati metodi come l’uso di blockchain per pubblicare indirizzi di server, il recupero di configurazioni tramite reti peer-to-peer e l’impiego di servizi web comuni come livello di risoluzione, oltre a infrastrutture su VPS commerciali. Questa architettura a strati rende più difficile il takedown e consente continuità operativa.
La neutralizzazione simultanea dei canali ha impedito alle macchine infette di ricevere nuovi comandi o payload, riducendo la capacità degli attaccanti di mantenere accesso persistente e di espandere l’avvelenamento dei repository, che ha coinvolto centinaia di progetti. Per chi sviluppa software, il messaggio è chiaro: protezione di token, hardening delle pipeline, controllo delle dipendenze e verifica delle estensioni sono misure essenziali per ridurre il rischio di attacchi supply chain.